你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 与 Microsoft Defender for Endpoint 原生集成,以在 Defender for Cloud 中提供 Defender for Endpoint 和 Defender 漏洞管理功能。
- 在 Defender for Cloud 中启用 Defender for Servers 计划时,默认情况下会启用 Defender for Endpoint 集成。
- 集成会自动在计算机上安装 Defender for Endpoint 代理。
本文介绍如何在必要时手动启用 Defender for Endpoint 集成。
先决条件
| 要求 | 详细信息 |
|---|---|
| Windows 支持 | 验证 Defender for Endpoint 是否支持 Windows 计算机。 |
| Linux 支持 | 对于 Linux 服务器,必须已安装 Python。 建议对所有发行版使用 Python 3,但 RHEL 8.x 和 Ubuntu 20.04 或更高版本必须使用 Python 3。 如果 Linux 计算机运行使用 fanotify 的服务,则无法按预期在计算机上自动部署 Defender for Endpoint 传感器。 请在这些计算机上手动安装 Defender for Endpoint 传感器。 |
| Azure VM | 检查 VM 是否可以连接到 Defender for Endpoint 服务。 如果计算机没有直接访问权限,则代理设置或防火墙规则需要允许对 Defender for Endpoint URL 的访问。 查看 Windows 和 Linux 计算机的代理设置。 |
| 本地 VM | 建议载入本地计算机并用作已启用 Azure Arc 的 VM。 如果直接载入本地 VM,则 Defender Server 计划 1 的功能可以使用,但 Defender for Servers 计划 2 的大部分功能无法使用。 |
| Azure 租户 | 如果在 Azure 租户之间移动了订阅,还需要执行一些手动准备步骤。 有关详细信息,请联系 Microsoft 支持部门。 |
| Windows Server 2016、2012 R2 | 与预安装了 Defender for Endpoint 传感器的 Windows Server 较高版本不同,在运行 Windows Server 2016/2012 R2 的计算机上,Defender for Cloud 使用统一的 Defender for Endpoint 解决方案安装该传感器。 |
在订阅上启用
启用 Defender for Servers 计划时,系统会默认启用 Defender for Endpoint 集成。 如果关闭订阅中的 Defender for Endpoint 集成,日后需要时可以根据以下说明手动重新开启。
在 Defender for Cloud 中,选择“环境设置”,然后选择所需订阅(其包含要部署 Defender for Endpoint 集成的目标计算机)。
在“设置和监视”>“终结点保护”中,将“状态”列设置切换为“打开”。
选择“继续”和“保存”以保存设置。
Defender for Endpoint 传感器部署到所选订阅中的所有 Windows 和 Linux 计算机。
载入过程最多可能需要 1 小时。 Defender for Cloud 会检测任何以前的 Defender for Endpoint 安装,并对其进行重新配置以与 Defender for Cloud 集成。
注意
对于通过通用化 OS 映像创建的 Azure VM,不会通过此设置自动预配 MDE;但是,可以使用 Azure CLI、REST API 或 Azure Policy 手动启用 MDE 代理和扩展。
验证 Linux 计算机上的安装情况
按照以下步骤验证 Linux 计算机上 Defender for Endpoint 传感器的安装:
在每台计算机上运行以下 shell 命令:
mdatp health。 如果已安装 Microsoft Defender for Endpoint,则会看到其运行状况:healthy : truelicensed: true此外,可以在 Azure 门户中检查 Linux 计算机是否具有新的名为
MDE.Linux的 Azure 扩展。
注意
在新订阅中,Defender for Endpoint 集成会自动启用,并涵盖运行受支持的 Windows Server 或 Linux作系统的计算机。 以下部分介绍仅在某些应用场景中可能需要的一次性选择加入。
在 Windows Server 2016/2012 R2 上启用 Defender for Endpoint 统一解决方案
如果启用了 Defender for Servers 且 Defender for Endpoint 集成已启用,并且该订阅是在 2022 年春季之前创建的,那么对于在该订阅中运行 Windows Server 2016 或 Windows Server 2012 R2 的计算机,可能需要手动启用统一解决方案的集成。
在 Defender for Cloud 中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的 Windows 计算机的订阅。
在 Defender for Servers 计划的“监视范围”列中,选择“设置”。
“终结点保护”组件的状态为“部分”,这意味着并非所有组件部分都已启用。
选择“修复”以查看未启用的组件。
在“缺少组件”>“统一解决方案”中,选择“启用”,以在连接到 Microsoft Defender for Cloud 的 Windows Server 2012 R2 和 2016 计算机上自动安装 Defender for Endpoint 代理。
在页面顶部选择“保存”,以保存所做的更改。 在“设置和监视”页中,选择“继续”。
Defender for Cloud 会将现有计算机和新计算机载入 Defender for Endpoint 中。
如果要在租户中的第一个订阅上配置 Defender for Endpoint,加入可能需要长达 12 小时。 对于首次启用集成后创建的新计算机和订阅,载入最多需要一小时。
注意
在 Windows Server 2012 R2 和 Windows Server 2016 计算机上启用 Defender for Endpoint 集成是一次性操作。 如果禁用计划并重新启用该计划,集成将保持启用状态。
在 Linux 计算机上启用(已启用计划/集成)
如果 Defender for Servers 已启用,并且在 2021 年夏季之前创建的订阅中启用了 Defender for Endpoint 集成,则可能需要手动为 Linux 计算机启用此集成。
在 Defender for Cloud 中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的 Linux 计算机的订阅。
在 Defender for Servers 计划的“监视范围”列中,选择“设置”。
“终结点保护”组件的状态为“部分”,表明并非所有组件部分都已启用。
选择“修复”以查看未启用的组件。
在“缺少组件”>“Linux 计算机”中,选择“启用”。
在页面顶部选择“保存”,以保存所做的更改。 在“设置和监视”页中,选择“继续”。
- Defender for Cloud 会将 Linux 计算机载入 Defender for Endpoint 中。
- Defender for Cloud 检测到 Linux 计算机上任何以前的 Defender for Endpoint 安装,并重新配置它们以与 Defender for Cloud 集成。
- 如果要在租户中的第一个订阅上配置 Defender for Endpoint,加入可能需要长达 12 小时。 对于启用集成后创建的新计算机,载入最多需要一小时。
若要验证 Linux 计算机上的 Defender for Endpoint 传感器安装情况,请在每台计算机上运行以下 shell 命令。
mdatp health如果已安装 Microsoft Defender for Endpoint,则会看到其运行状况:
healthy : truelicensed: true你可以在 Azure 门户中检查 Linux 计算机是否具有新的名为
MDE.Linux的 Azure 扩展。
注意
在 Linux 计算机上启用 Defender for Endpoint 集成是一次性操作。 如果禁用计划并重新启用该计划,集成将保持启用状态。
在多个订阅中启用与 PowerShell 的集成
要通过多个订阅上的 MDE 统一解决方案为 Linux 计算机或 Windows Server 2012 R2 和 2016 启用 Defender for Servers 集成,可以使用 Defender for Cloud GitHub 存储库中的 PowerShell 脚本之一。
- 使用此脚本在 Windows Server 2012 R2 或 Windows Server 2016 上启用与 Defender for Endpoint 新式统一解决方案的集成
- 使用此脚本在 Linux 计算机上启用 Defender for Endpoint 集成
管理 Linux 的自动更新
在 Windows 中,知识库会持续更新,并随附更新的 Defender for Endpoint 版本。 在 Linux 中,需要更新 Defender for Endpoint 包。
将 Defender for Servers 与
MDE.Linux扩展配合使用时,默认情况下会启用 Microsoft Defender for Endpoint 的自动更新。如果要手动管理版本更新,可以在计算机上禁用自动更新。 为此,请为已载入且具有
MDE.Linux扩展的计算机添加以下标记。- 标签名称:
ExcludeMdeAutoUpdate - 标签值:
true
- 标签名称:
Azure VM 和 Azure Arc 计算机支持此配置,其中 MDE.Linux 扩展启动自动更新。
大规模启用集成
可以通过提供的 REST API 版本 2022-05-01 大规模启用 Defender for Endpoint 集成。 有关完整的详细信息,请参阅 API 文档。
以下是 PUT 请求的请求正文示例,该请求可用于启用 Defender for Endpoint 集成:
URI:https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
注意
启用 Defender for Endpoint 集成 microsoft.security/settings/WDATP时,Defender for Endpoint 统一解决方案和 Defender for Endpoint for Linux 会自动包含在新订阅中。
WDATP_UNIFIED_SOLUTION 和 WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW 设置与旧订阅相关。 这些设置适用于在 2021 年 8 月和 2022 年春季引入这些功能时已启用 Defender for Endpoint 集成的订阅。
跟踪 Defender for Endpoint 部署状态
你可以使用 Defender for Endpoint 部署状态工作簿,跟踪 Azure VM 和 Azure Arc VM 上的 Defender for Endpoint 部署状态。 这是交互式工作簿,它概述了环境中的计算机,显示了 Microsoft Defender for Endpoint 扩展的部署状态。
访问 Microsoft Defender 门户
请确保你拥有访问门户所需的适当权限。
检查代理或防火墙是否阻止匿名流量。
- Defender for Endpoint 传感器从系统上下文进行连接,因此必须允许匿名流量。
- 若要确保不受限制地访问 Microsoft Defender 门户, 请启用对代理服务器中的服务 URL 的访问权限。
运行检测测试
请遵循 EDR 检测测试中的说明来验证设备的加入和报告服务。
从计算机中删除 Defender for Endpoint
若要从计算机中删除 Defender for Endpoint 解决方案,请运行以下操作:
- 若要禁用集成,在 Defender for Cloud >“环境设置”中选择包含相关计算机的订阅。
- 在“Defender 计划”页中,选择“设置和监视”。
- 在终结点保护组件的状态中,选择“关闭”,为订阅禁用与 Microsoft Defender for Endpoint 的集成。
- 选择“继续”和“保存”以保存设置。
- 从计算机中移除
MDE.Windows或MDE.Linux扩展功能。 - 从 Microsoft Defender for Endpoint 服务中移除设备。